Macos Brawte nfaq 0 Comments

バグ報奨金制度を設定したことを喜ぶ前に、実際にセキュリティに対応できるスタッフを配置しましたか?

Table of Contents

バグ報奨金制度を設定したことを喜ぶ前に、実際にセキュリティに対応できるスタッフを配置しましたか?

開示バグ報奨金制度の先駆者であるケイティ・ムソリス氏は、企業に対し、報奨金の支給に突入する前に、脆弱性開示に対応するのに必要なスタッフを雇うよう促している。

Luta SecurityのCEOは、このプロセスを消化に例え、多くの企業がバグ報告を適切に処理し、個々の問題にパッチを当てるだけでなく、ソフトウェアのセキュリティ向上に活用する能力がないまま、報奨金プログラムを立ち上げていると述べています。その結果、開発者はサービス拒否(DoS)やクロスサイトスクリプティング(CSS)といった基本的な欠陥に関する報告を大量に受け取り、報奨金を支払うことになりますが、それらのエラーの根本原因を修正することは決してありません。

「消化器官が機能していない状態で食べ放題のビュッフェに行くようなものです」と、ムスリス氏は火曜日にサンフランシスコで開催されたOktaの情報セキュリティカンファレンス「Disclosure」の参加者に語った。「本当に不快です。お勧めしません」

侵入テストでさえ効果がない場合もあります。顧客が社内にレッドチームの調査結果や推奨事項を真に理解できるほどの専門知識を持っていない可能性があります。「私がプロの侵入テスト担当者だった頃、一部の顧客はただチェックボックスをチェックしているだけでした」と、ムスーリス氏はカンファレンスでの講演後にThe Register紙に語りました。「1年後に再び訪問した時には、レポートの日付を変更するだけで済みました。」

要件が高すぎる、人材プールが小さすぎる

問題の一因は、脆弱性発見に報奨金を提供し、バグバウンティハンターに門戸を開けば、あらゆるセキュリティバグを一掃できる万能薬になるという誤解にあります。コードを本番環境にリリースする前に欠陥を根絶できる有能なスタッフを雇う代わりに、これらのプログラムを利用する企業があまりにも多く見られます。

実際には、報奨金制度は、IT部門がシステムを守るために使用する膨大なツール群の中のほんの一項目に過ぎません。顧客向けにバグ報奨金制度を実施している組織の中には、これを必須プログラムのように宣伝するところもありますが、これは状況を悪化させています。

「バグ報奨金制度のある企業がベンチャーキャピタルの支援を受け、マーケティングに力を入れており、彼らが求めているのはただ彼らが販売する商品だけだとしたら、それは難しい」とムスーリス氏は述べた。「バグ報奨金制度は、セキュリティが低ければ低いほど、より多くの利益を生み出すのだ。」

もう一つの問題は、企業がセキュリティ人材の最下層をどのように見ているかという点です。情報セキュリティ業界では一種のジョークになっていますが、「エントリーレベル」と銘打たれた仕事では、しばしば長年の経験と恣意的な資格が求められます。これは企業の人員不足を招くだけでなく、他の業界から再訓練を受けている、あるいは再訓練を希望している優秀な人材、特に女性やマイノリティといった、既に不利な状況にあると感じている層を、潜在的に大量に取り残してしまうことになります。

「セキュリティメンテナンスの役割、脆弱性管理やバグ修正の役割を担う人材を、現在存在する専門家の数ですべて埋めることはできません」と彼女は語り、いわゆるエントリーレベルの仕事に対する法外な要件を満たせない人材は「未開発の天然資源」だと付け加えた。

かつてマイクロソフト初のバグ報奨金制度を立ち上げ、Windowsの巨人である同社の脆弱性調査プログラムを設立したムスリス氏は、ここに誰もが恩恵を受けられる機会があると考えている。バグ報奨金プログラムに資金を投じたい企業は、真のエントリーレベルのセキュリティ担当者を雇用し、社内でバグのチェックと修正を行い、新しいコードで同じバグが再発しないようにすることで、予算をより有効に活用できるはずだ。

企業がその体制を整えれば、侵入テストレポートやバグ報奨金プログラムを最大限に活用する準備が整うだろうと彼女は述べた。

古典的な「黒のパーカーのハッカー」ショットの女性

情報セキュリティのロックスターが活躍する世界で、セクハラを阻止するのは被害者にとって大変な仕事だ

続きを読む

文化も役割を果たす

ムスーリス氏によると、情報セキュリティコミュニティも焦点を調整する必要があるという。「セレブリティ・バグハンター」という概念は、単に侵入方法を見つけることではなく、セキュリティの防御的役割を重視する、より成熟したアプローチに取って代わられる必要がある。

「これは警備における多様な労働形態に関するものであり、警備業界のスターは皆、穴を見つけることしかできないという固定観念を改めることです」とムスリス氏は考え込んだ。「成熟し、より意義のある仕事を求めるようになるにつれて、破壊だけでなく予防にも力を入れたキャリアを築くことができるという考え方が重要になってくるでしょう。」

さらに、日常的なセキュリティメンテナンスを再び魅力的なものにするという課題もあります。ムスリス氏は、セキュリティ部門に対し、ソフトウェアアップデートなどの面白みを増すよう指示しています。

「サーバーを最新の状態に保つことは魅力的である必要があります」と彼女は言いました。「しかし、それよりも重要なのは、常にパッチを当てるだけにならないようにすることです。」®

Macos

Smart Recommendations

Discover More